• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

xin hỏi về transform-set ?

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    xin hỏi về transform-set ?

    Em đang tự học về VPN chua hiểu lắm về khái niêm transform-set xin mọi người giúp đỡ.
    Em đọc trong tài liệu thấy nói rằng trong IKE Phase 1 thì 2 bên sẽ trao đổi các policy, thiết lập DH key và xác thực .Trong IKE Phase 2 thương lượng các tham số IPsec Security(IPsec transform-set). E nghĩ rằng trasform-set đc tạo ra từ các tham số trong viện trao đổi policy từ Phase 1 chứ tại sao lại phải cấu hình transform-set trên 2 peer
    Tags: None
  • #2
    Chào bạn,

    Thì đúng như bạn nói, hai bên có thương lượng với nhau đó.

    Cái mình cấu hình để 2 bên có nhiều điều kiện thương lượng với nhau hơn. Nếu không đạt được điều kiện tối thiểu đó thì khỏi thương lượng nữa. (để trong trường hợp 1 ông thì cực kỳ cảnh giác, 1 ông thì lơ là, 2 bên bắt tay nhau bạn nghĩ có nên không)

    Khi thương lượng thì 2 bên sẽ chọn thuật toán mã hóa tốt nhất. Vì thế bạn thấy trasform-set nó có thể ghi nhiều option thuật toán mã hóa phía sau.
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314

Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org		 - Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blog

Comment

  • #3
    Thông tin transform set dùng để định nghĩa cách thức sử dụng VPN cho 2 bên ( giải thuật mã hóa dữ liệu, có sử dụng xác thực nguồn gốc sinh ra dữ liệu hay không) và yêu cầu giống nhau trên 2 bên khi tham gia kết nối.
    Ví dụ:
    crypto ipsec transform-set MYSET esp-3des esp-sha-hmac

    Dòng lệnh trên cho biết : sử dụng giao thức esp cho VPN, mã hóa dữ liệu bằng thuật toán 3des, dùng giải thuật hash sha cho việc xác thực nguồn gốc dữ liệu. Lưu ý: MYSET chỉ là tên đặt và có thể khác nhau ở hai bên.

    Link sau có thể có nhiều kiến thức hay cho bạn: http://vnpro.org/forum/showthread.php/38826-Ipsec-vpn
    Lâm Văn Tú
    Email :     cntt08520610@gmail.com
    Viet Professionals Co. Ltd. (VnPro)
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel: (08) 35124257 (5 lines)
    Fax (08) 35124314
    Tập tành bước đi....


    Comment

    • #4
      Originally posted by phamminhtuan View Post
      Chào bạn,

      Thì đúng như bạn nói, hai bên có thương lượng với nhau đó.

      Cái mình cấu hình để 2 bên có nhiều điều kiện thương lượng với nhau hơn. Nếu không đạt được điều kiện tối thiểu đó thì khỏi thương lượng nữa. (để trong trường hợp 1 ông thì cực kỳ cảnh giác, 1 ông thì lơ là, 2 bên bắt tay nhau bạn nghĩ có nên không)

      Khi thương lượng thì 2 bên sẽ chọn thuật toán mã hóa tốt nhất. Vì thế bạn thấy trasform-set nó có thể ghi nhiều option thuật toán mã hóa phía sau.
      Vậy có phải tranform-set đc tạo lên từ việc thương lượng các policy từ Phase1 dúng không ah.

      Comment

      • #5
        Originally posted by tinhtv View Post
        Vậy có phải tranform-set đc tạo lên từ việc thương lượng các policy từ Phase1 dúng không ah.
        Chào bạn,

        IPSec hỗ trợ nhiều thuật toán dùng để để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán,tính bí mật và xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng . Những kỹ thuật mà IPSec dùng cung cấp 4 tính năng phổ biến sau:

        - Tính bảo mật dữ liệu – Data confidentiality
        - Tính toàn vẹn dữ liệu – Data Integrity
        - Tính chứng thực nguồn dữ liệu – Data origin authentication
        - Tính tránh trùng lặp gói tin – Anti-replay

        Các giao thức của IPSec

        Để trao đổi và thỏa thuận các thông số để tạo nên một môi trường bảo mật giữa 2 đầu cuối, IPSec dùng 3 giao thức:

        - IKE (Internet Key Exchange)
        - ESP (Encapsulation Security Payload)
        - AH (Authentication Header)

        IKE là giao thức thực hiện quá trình trao đổi khóa và thỏa thuận các thông số bảo mật với nhau như: mã hóa thế nào, mã hóa bằng thuật toán gì, bau lâu trao đổi khóa 1 lần. Sau khi trao đổi xong thì sẽ có được một “hợp đồng” giữa 2 đầu cuối, khi đó IPSec SA (Security Association) được tạo ra.

        SA là những thông số bảo mật đã được thỏa thuận thành công, các thông số SA này sẽ được lưu trong cơ sở dữ liệu của SA

        Trong quá trình trao đổi khóa thì IKE dùng thuật toán mã hóa đối xứng, những khóa này sẽ được thay đổi theo thời gian. Đây là đặc tính rất hay của IKE, giúp hạn chế trình trạng bẻ khóa của các attacker.

        IKE còn dùng 2 giao thức khác để chứng thực đầu cuối và tạo khóa: ISAKMP (Internet Security Association and Key Management Protocol) và Oakley.
        - ISAKMP: là giao thức thực hiện việc thiết lập, thỏa thuận và quản lý chính sách bảo mật SA
        - Oakley: là giao thức làm nhiệm vụ chứng thực khóa, bản chất là dùng thuật toán Diffie-Hellman để trao đổi khóa bí mật thông qua môi trường chưa bảo mật.
        Giao thức IKE dùng UDP port 500.
        Các giai đoạn (phase) hoạt động của IKE

        http://vnpro.org/forum/showthread.php/38826-Ipsec-vpn
        B1: Cấu hình chính sách IKE (chính sách pha 1)
         SAIGON(config)#crypto isakmp policy 10
         SAIGON(config-isakmp)#hash md5
        SAIGON(config-isakmp)#encryption des
        SAIGON(config-isakmp)#group 2
         SAIGON(config-isakmp)#authentication pre-share

        B2: Xác định thông tin key và peer
         SAIGON(config)#crypto isakmp key 0 vnpro123 address 151.1.1.1

         B3:Cấu hình chính sách IPSec (chính sách pha 2)
         SAIGON(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-des
        Phạm Minh Tuấn

        Email : phamminhtuan@vnpro.org
        Yahoo : phamminhtuan_vnpro
        -----------------------------------------------------------------------------------------------
        Trung Tâm Tin Học VnPro
        149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
        Tel : (08) 35124257 (5 lines)
        Fax: (08) 35124314

        Home page: http://www.vnpro.vn
        Support Forum: http://www.vnpro.org        		 - Chuyên đào tạo quản trị mạng và hạ tầng Internet
        - Phát hành sách chuyên môn
        - Tư vấn và tuyển dụng nhân sự IT
        - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

        Network channel: http://www.dancisco.com
        Blog: http://www.vnpro.org/blog

        Comment

          • Previous template Next
          Working...
          X